CN113691562A - 一种精确识别恶意网络通讯的规则引擎实现方法 - Google Patents

一种精确识别恶意网络通讯的规则引擎实现方法 Download PDF

Info

Publication number
CN113691562A
CN113691562A CN202111082727.5A CN202111082727A CN113691562A CN 113691562 A CN113691562 A CN 113691562A CN 202111082727 A CN202111082727 A CN 202111082727A CN 113691562 A CN113691562 A CN 113691562A
Authority
CN
China
Prior art keywords
data
feature
session
identification
network communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111082727.5A
Other languages
English (en)
Other versions
CN113691562B (zh
Inventor
宋超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Wangyun Beijing Information Technology Co ltd
Original Assignee
Shenzhou Wangyun Beijing Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Wangyun Beijing Information Technology Co ltd filed Critical Shenzhou Wangyun Beijing Information Technology Co ltd
Priority to CN202111082727.5A priority Critical patent/CN113691562B/zh
Publication of CN113691562A publication Critical patent/CN113691562A/zh
Application granted granted Critical
Publication of CN113691562B publication Critical patent/CN113691562B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Pure & Applied Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种精确识别恶意网络通讯的规则引擎实现方法,涉及网络通讯规则引擎技术领域,包括步骤1‑步骤8;本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。

Description

一种精确识别恶意网络通讯的规则引擎实现方法
技术领域
本发明属于网络通讯规则引擎技术领域,具体涉及一种精确识别恶意网络通讯的规则引擎实现方法。
背景技术
随着互联网技术的不断发展,互联网上不稳定因素也在不断增加,人们在加紧部署网路安全设施的同时,网络恶意流量的类型和种类也在不断的变化当中,网络威胁的识别机制也需要不断的推陈出新,及时防护网络,保护上网者的上网安全。本识别引擎是对传统识别引擎的完善和补充,相较之前的恶意流量识别引擎,本识别引擎不需要需要使用人员对网络攻击相关知识有较深的了解,不需要熟练掌握识别引擎的使用规则,降低入门门槛,部署完成即可起效,可以做到“无干预”运行。在识别效率上,本识别引擎采用了高效的特征匹配策略和匹配算法,保证流量信息的快速处理。在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员。
精确识别恶意网络通讯的规则引擎实现中,要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,现有技术是使用者的使用门槛较高;恶意流量识别的效率较低且识别的准确度较低,为此我们提出一种精确识别恶意网络通讯的规则引擎实现方法来解决现有技术中存在的问题。
发明内容
本发明的目的在于提供一种精确识别恶意网络通讯的规则引擎实现方法,以解决上述背景技术中提出现有技术中的问题。
为实现上述目的,本发明采用了如下技术方案:一种精确识别恶意网络通讯的规则引擎实现方法,包括如下步骤:
步骤1、系统进行服务器搭建,本服务器使用串接方式接入组织的外网接口;
步骤2、进行引擎PDUMP抓包作为网络流量的入口,对出入流量进行实时抓包留存处理,此时的数据量可能比较多,其中包括大量正常流量,因此需要先把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库,这个过程可以排除掉大部分的数据,后续我们只针对少部分的数据进行特征风险识别;
步骤4、在上一步的基础上,发现的可疑会话流量,此时需要做详细检查,判断是否是已知的恶意攻击行为,如果匹配正确,那么需要做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,我们将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分;
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,帮助网安人员及时发现问题,处理危情。
优选的,步骤1中,系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器。
3.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤2中,采用DPDK抓包作为引擎PDUMP抓包软件。
4.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤3至步骤4中特征匹配过滤流程包括三个步骤:
S1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据,这里可以灵活配置还原策略,让引擎高可用;
S1、第二步我们通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
S1、第三步采用字符串通配法匹配特征,查找对应数据,字符串特征我们构建了字符串索引,使检索的效率增加,快速匹配数据值。
优选的,步骤3中,根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取。
优选的,对会话的传输数据进行特征提取,这部分我们对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串我们作为识别会话特点的特征。
优选的,将提取到的特征数据按照字符串匹配法对特征进行归类,这一步的操作类型创建索引,有利于后续我们查询使用;
然后我们针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展。
优选的,步骤7中,危险会话特征库还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护。
优选的,本规则引擎实现方法中的机器学习算法主要采用的是支持向量机和决策树,帮助完成对特征的衍生和整理,快速分类和扩充。
优选的,样本库提供了机器学习的学习样本,使机器学习策略按照我们的需求进行数据分析处理。
本发明的技术效果和优点:本发明提出的一种精确识别恶意网络通讯的规则引擎实现方法,与现有技术相比,具有以下优点:
本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书以及附图中所指出的结构来实现和获得。
附图说明
图1为本发明的系统结构设计图;
图2为本发明大数据机器学习平台设计图;
图3为本发明中特征匹配过滤流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了如图1-3所示的实施例:
系统机构设计详述(参见图1):
步骤1、系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器,本服务器使用串接方式接入组织的外网接口;
步骤2、采用DPDK抓包引擎PDUMP抓包软件作为网络流量的入口,对出入流量进行实时抓包留存处理,此时的数据量可能比较多,其中包括大量正常流量,因此需要先把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库,这个过程可以排除掉大部分的数据,后续我们只针对少部分的数据进行特征风险识别;
步骤4、这一步是在上一步的基础上,发现的可疑会话流量,此时需要做详细检查,判断是否是已知的恶意攻击行为,如果匹配正确,那么需要做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,我们将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征,还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,帮助网安人员及时发现问题,处理危情;
大数据机器学习平台详述(图见图2):
1、本系统可以直接对接网络流量数据,也可以通过三方识别网络流量文件进行数据分析,提供两种方式满足实际不同的应用场景;
2、当数据进入到系统,首先要对数据包进行格式化的检查整理,处理成本系统可以分析的格式化数据,其中包括数据的解析,我们统一按照逗号分隔的形式拆分数据字段;
3、根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取;
4、对会话的传输数据进行特征提取,这部分我们对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串我们作为识别会话特点的特征;
5、我们将提取到的特征数据按照字符串匹配法对特征进行归类,这一步的操作类型创建索引,有利于后续我们查询使用;
6、然后我们针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展;
7、机器学习算法主要采用的是支持向量机和决策树,帮助完成对特征的衍生和整理,快速分类和扩充;
8、样本库提供了机器学习的学习样本,使机器学习策略按照我们的需求进行数据分析处理;
9、这一步我们针对输入数据进行再一次的特征匹配,检查是否是恶意会话,此步骤的匹配方式是通过字符串统配匹配的方式完成,实际上还是简单的字符串检查操作,当前的检查可以准确识别出是否是恶意会话数据;
10、如果第九步处理完之后还有剩余未识别的流量数据,本方案提供了人为介入的接口,网安人员可以对剩余数据进行经验分析,然后确定是否放行;
特征匹配过滤流程详述(图见图3):
1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据,这里可以灵活配置还原策略,让引擎高可用;
2、这一步我们通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
3、这一步采用字符串通配法匹配特征,查找对应数据,字符串特征我们构建了字符串索引,使检索的效率增加,快速匹配数据值。
综上所述,本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于,包括如下步骤:
步骤1、系统进行服务器搭建,本服务器使用串接方式接入组织的外网接口;
步骤2、进行引擎PDUMP抓包作为网络流量的入口,对出入流量进行实时抓包留存处理,此时的数据量可能比较多,其中包括大量正常流量,因此需要先把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库,这个过程可以排除掉大部分的数据,后续我们只针对少部分的数据进行特征风险识别;
步骤4、在上一步的基础上,发现的可疑会话流量,此时需要做详细检查,判断是否是已知的恶意攻击行为,如果匹配正确,那么需要做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,我们将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分;
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,帮助网安人员及时发现问题,处理危情。
2.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤1中,系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器。
3.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤2中,采用DPDK抓包作为引擎PDUMP抓包软件。
4.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤3至步骤4中特征匹配过滤流程包括三个步骤:
S1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据,这里可以灵活配置还原策略,让引擎高可用;
S2、第二步我们通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
S3、第三步采用字符串通配法匹配特征,查找对应数据,字符串特征我们构建了字符串索引,使检索的效率增加,快速匹配数据值。
5.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤3中,根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取。
6.根据权利要求5所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:对会话的传输数据进行特征提取,这部分我们对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串我们作为识别会话特点的特征。
7.根据权利要求6所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:将提取到的特征数据按照字符串匹配法对特征进行归类,这一步的操作类型创建索引,有利于后续我们查询使用;
然后我们针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展。
8.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤7中,危险会话特征库还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护。
9.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:本规则引擎实现方法中的机器学习算法主要采用的是支持向量机和决策树,帮助完成对特征的衍生和整理,快速分类和扩充。
10.根据权利要求9所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:样本库提供了机器学习的学习样本,使机器学习策略按照我们的需求进行数据分析处理。
CN202111082727.5A 2021-09-15 2021-09-15 一种精确识别恶意网络通讯的规则引擎实现方法 Active CN113691562B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111082727.5A CN113691562B (zh) 2021-09-15 2021-09-15 一种精确识别恶意网络通讯的规则引擎实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111082727.5A CN113691562B (zh) 2021-09-15 2021-09-15 一种精确识别恶意网络通讯的规则引擎实现方法

Publications (2)

Publication Number Publication Date
CN113691562A true CN113691562A (zh) 2021-11-23
CN113691562B CN113691562B (zh) 2024-04-23

Family

ID=78586415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111082727.5A Active CN113691562B (zh) 2021-09-15 2021-09-15 一种精确识别恶意网络通讯的规则引擎实现方法

Country Status (1)

Country Link
CN (1) CN113691562B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118400201A (zh) * 2024-06-27 2024-07-26 杭州迪普科技股份有限公司 基于硬件加速的恶意流量检测与防护方法、装置及系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468252A (zh) * 2013-09-23 2015-03-25 重庆康拜因科技有限公司 一种基于正迁移学习的智能网络业务识别方法
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
CN108347430A (zh) * 2018-01-05 2018-07-31 国网山东省电力公司济宁供电公司 基于深度学习的网络入侵检测和漏洞扫描方法及装置
CN108512841A (zh) * 2018-03-23 2018-09-07 四川长虹电器股份有限公司 一种基于机器学习的智能防御系统及防御方法
CN109391599A (zh) * 2017-08-10 2019-02-26 蓝盾信息安全技术股份有限公司 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
WO2019144521A1 (zh) * 2018-01-23 2019-08-01 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
CN110224990A (zh) * 2019-07-17 2019-09-10 浙江大学 一种基于软件定义安全架构的入侵检测系统
CN110753064A (zh) * 2019-10-28 2020-02-04 中国科学技术大学 机器学习和规则匹配融合的安全检测系统
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统
CN111277587A (zh) * 2020-01-19 2020-06-12 武汉思普崚技术有限公司 基于行为分析的恶意加密流量检测方法及系统
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
CN111935081A (zh) * 2020-06-24 2020-11-13 武汉绿色网络信息服务有限责任公司 一种数据包脱敏方法和装置
CN112084497A (zh) * 2020-09-11 2020-12-15 国网山西省电力公司营销服务中心 嵌入式Linux系统恶意程序检测方法及装置

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468252A (zh) * 2013-09-23 2015-03-25 重庆康拜因科技有限公司 一种基于正迁移学习的智能网络业务识别方法
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
CN109391599A (zh) * 2017-08-10 2019-02-26 蓝盾信息安全技术股份有限公司 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
CN108347430A (zh) * 2018-01-05 2018-07-31 国网山东省电力公司济宁供电公司 基于深度学习的网络入侵检测和漏洞扫描方法及装置
WO2019144521A1 (zh) * 2018-01-23 2019-08-01 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
CN108512841A (zh) * 2018-03-23 2018-09-07 四川长虹电器股份有限公司 一种基于机器学习的智能防御系统及防御方法
CN110224990A (zh) * 2019-07-17 2019-09-10 浙江大学 一种基于软件定义安全架构的入侵检测系统
CN110753064A (zh) * 2019-10-28 2020-02-04 中国科学技术大学 机器学习和规则匹配融合的安全检测系统
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统
CN111277587A (zh) * 2020-01-19 2020-06-12 武汉思普崚技术有限公司 基于行为分析的恶意加密流量检测方法及系统
CN111935081A (zh) * 2020-06-24 2020-11-13 武汉绿色网络信息服务有限责任公司 一种数据包脱敏方法和装置
CN112084497A (zh) * 2020-09-11 2020-12-15 国网山西省电力公司营销服务中心 嵌入式Linux系统恶意程序检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
张存正: "网络异常行为自动识别技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(2016)》 *
张存正: "网络异常行为自动识别技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(2016)》, no. 9, 15 September 2016 (2016-09-15), pages 3 - 4 *
张存正: "网络异常行为自动识别技术研究", 中国优秀硕士学位论文全文数据库 信息科技辑, no. 9, 15 September 2016 (2016-09-15), pages 1 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118400201A (zh) * 2024-06-27 2024-07-26 杭州迪普科技股份有限公司 基于硬件加速的恶意流量检测与防护方法、装置及系统

Also Published As

Publication number Publication date
CN113691562B (zh) 2024-04-23

Similar Documents

Publication Publication Date Title
CN107665191B (zh) 一种基于扩展前缀树的私有协议报文格式推断方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN111538741B (zh) 一种面向警情大数据的深度学习分析方法及系统
CN113194058B (zh) Web攻击检测方法、设备、网站应用层防火墙及介质
CN113079150B (zh) 一种电力终端设备入侵检测方法
CN111581355A (zh) 威胁情报的主题检测方法、装置和计算机存储介质
CN114553983B (zh) 一种基于深度学习高效工业控制协议解析方法
CN109992484A (zh) 一种网络告警相关性分析方法、装置和介质
Das et al. Network intrusion detection using natural language processing and ensemble machine learning
US20210185059A1 (en) Label guided unsupervised learning based network-level application signature generation
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN113904881A (zh) 一种入侵检测规则误报处理方法和装置
CN110908957A (zh) 电力行业网络安全日志审计分析方法
CN116186759A (zh) 一种面向隐私计算的敏感数据识别与脱敏方法
KR102189127B1 (ko) 행위 기반 룰 처리 장치 및 그 처리 방법
CN113691562A (zh) 一种精确识别恶意网络通讯的规则引擎实现方法
CN118300860A (zh) 一种基于机器学习和高级语义映射的电力网络异常检测系统
CN105468972B (zh) 一种移动终端文件检测方法
CN113946823A (zh) 一种基于url基线偏离度分析的sql注入检测方法及装置
CN109672586A (zh) 一种dpi业务流量识别方法、装置与计算机可读存储介质
CN117914599A (zh) 基于图神经网络的移动网络恶意流量识别方法
CN112001423B (zh) Apt恶意软件组织的开集识别方法、装置、设备和介质
CN117938430A (zh) 基于Bert模型的Webshell检测方法
WO2018110997A1 (ko) 네트워크 침입 탐지 규칙을 생성하는 방법 및 장치
Xu Research on network intrusion detection method based on machine learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant